近年來,許多科技公司正逐步取消簡訊驗證(SMS)的身份驗證方法,擁有25億Gmail用戶的Google也在近日透露,Gmail 將以 QR Code 取代現有的6位數簡訊雙重驗證登入方式,提升帳戶安全性,避免網路釣魚和詐騙等安全風險。
Google 表示,使用簡訊進行雙重驗證存在多項安全隱憂。 首先,簡訊驗證碼容易被攔截或盜用,讓不肖人士有機可乘。其次,簡訊驗證碼也常被詐騙集團用來網路釣魚,誘騙使用者提供驗證碼,進而盜取帳戶。 此外,簡訊驗證碼的安全性也取決於電信業者的資安措施,一旦電信業者遭受攻擊,使用者的帳戶安全也將受到威脅。
在過去幾年,簡訊驗證也常常被犯罪分子非法利用,Google觀察到一種新型詐騙手法 「流量灌水」(Traffic pumping) ,或稱為「人工流量膨脹」、「收費詐騙」,也就是詐騙者控制大量電話號碼,誘使網路服務供應商(如Google)和電信業者向這些號碼發送大量簡訊,詐諞者能操縱簡訊流量,從每一條發送的簡訊牟取暴利。
手機掃QR Code更安全?Google指稱有效降低網路釣魚風險
相比簡訊驗證的安全漏洞,用戶只需使用手機相機掃描 QR Code,就能完成驗證,不需輸入任何驗證碼數字。Google 指出 QR Code的2大好處:
第一,從根本上杜絕分享驗證碼的過程,有效降低驗證碼被網路釣魚的風險
第二,大多數情況下,傳統的簡訊驗證依賴電信業者的安全性系統,QR Code能減少Google使用者對電信業者防範詐騙的依賴
Gmail發言人瑞奇德佛(Ross Richendrfer)向媒體表示:「就像透過使用密鑰之類的東西來取代密碼一樣,我們也希望不再使用發送簡訊進行身份驗證。」他補充,Google在未來幾個月將重新設計驗證電話號碼的方式,並預計在近期內正式推出 QR Code 驗證功能。
Google 並非唯一一家停止使用簡訊進行雙重驗證的公司。去年,Evernote 和 Signal 也陸續移除了簡訊驗證功能。X(原Twitter)、蘋果和微軟也停止使用簡訊驗證,已將使用者轉移到其他驗證方式。
本文初稿為AI編撰,整理.編輯/ 蘇柔瑋
延伸閱讀:25億Gmail用戶注意!AI詐騙鎖定「帳戶備用碼」盜個資:如何5撇步防範駭客?
Gmail不只能收寄信!收件匣AI彙報、建立待辦事項⋯6種自動化應用加速工作效率!
